Usamos cookies propias y de terceros para ayudarte en tu navegación. Si continuas navegando consideramos que aceptas el uso de cookies. OK

jueves, 29 de agosto de 2013

Resetear clave kerberos en Controlador de dominio - krb_ap_err_modified

Cada equipo con Windows mantiene un historial de contraseñas de cuentas de equipo que contiene las contraseñas actual y anteriores utilizadas para la cuenta. Cuando dos equipos intentan autenticarse entre sí y aún no se ha recibido un cambio de la contraseña actual, Windows usa la contraseña anterior. Si la secuencia de cambios de contraseña supera dos cambios, los equipos implicados no se pueden comunicar y el usuario puede recibir mensajes de error. Por ejemplo, puede recibir mensajes de error de "Acceso denegado" cuando se produce la replicación de Active Directory.

Este comportamiento también se aplica a la replicación entre los controladores de dominio del mismo dominio. Si los controladores de dominio que no se replican residen en dos dominios diferentes, observe la relación de confianza más detenidamente.

No se puede cambiar la contraseña de cuenta de equipo mediante el complemento Usuarios y equipos de Active Directory, pero puede restablecer la contraseña si usa la herramienta Netdom.exe. La herramienta Netdom.exe se incluye en las herramientas de soporte de Windows.

En el visor de sucesos vamos encontar los siguientes eventos:
Id. de  suceso: 4  - Origen: Kerberos
krb_ap_err_modified
 
Tambien verán eventos de Sistema - NTDS KCC de Advertencia y error.

Utilizar Netdom.exe para restablecer una contraseña de cuenta de equipo

Instale las herramientas de soporte de Windows Server 2003 en el controlador de dominio cuya contraseña desea restablecer. 

  1. Si desea restablecer la contraseña para un controlador de dominio de Windows, debe detener el servicio Centro de distribución de claves Kerberos y definir su tipo de inicio en Manual.
  2. Quite la caché de vales Kerberos del controlador de dominio donde aparecen los errores. Puede hacerlo si reinicia el equipo o utiliza las herramientas KLIST, Kerbtest o KerbTray.
  3. En un símbolo del sistema, escriba el comando siguiente:
    netdom resetpwd /s:servidor /ud:dominio\Usuario /pd:*
    A continuación se ofrece una descripción de este comando:
    • /s:servidor es el nombre del controlador de dominio que se utiliza para establecer la contraseña de cuenta de equipo. Es el servidor donde se ejecuta el KDC.
    • /ud:dominio\Usuario es la cuenta de usuario que realiza la conexión con el dominio que especificó en el parámetro /s. Debe tener el formato dominio\Usuario. Si se omite este parámetro, se utilizará la cuenta de usuario actual.
    • /pd:* especifica la contraseña de la cuenta de usuario que se especificó en el parámetro /ud. Utilice un asterisco (*) cuando se le solicite la contraseña.
    Por ejemplo, el equipo controlador de dominio local es Servidor1 y el controlador de dominio de Windows al mismo nivel es Servidor2. Si ejecuta Netdom.exe en el Servidor1 con los parámetros siguientes, la contraseña se cambia localmente y se escribe de manera simultánea en el Servidor2; asimismo, la replicación propaga el cambio a otros controladores de dominio:
    netdom resetpwd /s:servidor2 /ud:miDominio\administrator /pd:*
  4. Reinicie el servidor cuya contraseña ha cambiado. En este ejemplo, se trata del Servidor1.
Una vez reiniciado, si vemos que sigue sin replicar, nos vamos a la MMC Sitios y Servicios de Active Directory, desplegamos el arbol y en cada NTDS Setting de cada Controlador de dominio le damos  Comprobar topología de replicación, esperamos un minuto y forzamos la replica.
Chequeamos que los Controladores de Dominio estén replicando correctamente. Podemos usar la herramienta repadmin /showreps o Replmon.

 























En la imagen se puede ver como se soluciono el error de replica.
Si llega a fallar, volvemos a realizar los pasos nuevamente.


Publicado por en

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)